Polityka Prywatności serwisu www.sejfy-stalpol.pl

Niniejsza polityka prywatności i plików cookies opisuje zasady postępowania z danymi osobowymi oraz wykorzystywania plików cookies i innych technologii w ramach strony internetowej www.sejfy-stalpol.pl.
Administratorem strony jest STALPOL SAFES Sp. z o.o. , wpisanej do XIII Wydziału Gospodarczego Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Bydgoszczy pod nr 0000496617. Siedziba firmy znajduje się w Białych Błotach przy ul. Szubińskiej 101 d., NIP: 5542923459, REGON: 341533181.

Dane osobowe:

1. Użytkownik może przekazywać swoje dane osobowe Administratorowi za pomocą formularzy dostępnych na Stronie, takich jak formularz zapisu na newslettera i formularzy kontaktowych.
2. Administratorem danych osobowych Użytkownika powierzonych w formularzach jest STALPOL SAFES Sp. z o.o..
3. Administrator nie udostępnia przekazanych mu danych jakimkolwiek podmiotom trzecim.
4 Użytkownikowi przysługują następujące uprawnienia: prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
prawo do wniesienia sprzeciwu wobec przetwarzania,
prawo do przenoszenia danych,
prawo do cofnięcia zgody na przetwarzanie danych osobowych w określonym celu,
jeżeli Użytkownik uprzednio taką zgodę wyraził,
prawo do wniesienia skargi do organu nadzorczego w związku z przetwarzaniem danych osobowych przez Administratora

Administrator informuje niniejszym Użytkownika, że powierza przetwarzanie danych osobowych następującym podmiotom:

H88 S.A. z siedzibą w Poznaniu, Franklina Roosevelta 22, 60-829 Poznań, wpisana do Krajowego Rejestru Sądowego przez Sąd Rejonowy Poznań - Nowe Miasto i Wilda w Poznaniu, Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000612359, REGON 364261632, NIP 7822622168. – w celu przechowywania danych na serwerach.

Inne technologie

Administrator informuje niniejszym Użytkownika, że stosuje następujące technologie śledzące działania podejmowane przez Użytkownika w ramach Strony:
kod śledzenia Google Analitycs – w celu analizy statystyk Strony (w tym analiza grup demograficznych)
kod materiałów video Youtube – do prezentowania materiałów video
kod śledzenia Yandex Metrica – w celu analizy statystyk Strony
piksel konwersji Facebooka – w celu zarządzania reklamami na Facebooku i prowadzenia działań remarketingowych

Logi Serwera

Korzystanie ze Strony wiąże się z przesyłaniem zapytań do serwera, na którym przechowywana jest Strona.
Każde zapytanie skierowane do serwera zapisywane jest w logach serwera. Logi obejmują m.in. adres IP Użytkownika, datę i czas serwera, informacje o przeglądarce internetowej i systemie operacyjnym, z jakiego korzysta Użytkownik.
Logi zapisywane i przechowywane są na serwerze.
Dane zapisane w logach serwera nie są kojarzone z konkretnymi osobami korzystającymi ze Strony i nie są wykorzystywane przez Administratora w celu identyfikacji Użytkownika.
Logi serwera stanowią wyłącznie materiał pomocniczy służący do administrowania Stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do administrowania serwerem.

Pliki cookies wykorzystywane są w celu:

a) dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
b) tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
W ramach www.sejfy-stalpol.pl stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.

W ramach Serwisu stosowane są następujące rodzaje plików cookies:

a) „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach Serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach www.sejfy-stalpol.pl;/ b) „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;
c) „reklamowe” pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy www.sejfy-stalpol.pl mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika www.sejfy-stalpol.pl. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
Operator www.sejfy-stalpol.pl informuje, że ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych www.sejfy-stalpol.pl.

Do korzystania z serwisu wymagane jest zaakceptowanie tej polityki prywatności. Jeżeli jej nie akceptujesz opuść tę stronę. W sprawach związanych z ochroną danych osobowych możesz kontaktować się pisząc na adres info@stalpol.pl.



Polityka Bezpieczeństwa przetwarzania danych osobowych w STALPOL SAFES sp. z ograniczoną odpowiedzialnością, wpisana o rejestru przedsiębiorców KRS prowadzonego przez Sąd Rejonowy w Bydgoszczy XIII Wydział Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS 0000496617, NIP 5542923459, REGON 341533181 z siedzibą w Białych Błotach przy ul. Szubińskiej 101 D

 

Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (w dalszej części dokumentu „Polityka Bezpieczeństwa”) w spółce, stanowi zbiór zasad ochrony i przetwarzania danych osobowych, stosowanych przez STALPOL SAFES sp. z ograniczoną odpowiedzialnością jako administratora danych osobowych, w celu spełnienia wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018r. poz. 1000)

 

  1. Definicje użyte w Polityce Bezpieczeństwa:

 

  1. RODO – rozporządzenie parlamentu europejskiego i Rady Unii Europejskiej nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 r.;
  2. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
  3. Możliwa do zidentyfikowania osoba fizyczna - osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  4. Przetwarzanie – każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  5. Ograniczenie przetwarzania - oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
  6. Zgoda osoby, której dane dotyczą- dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda musi być każdorazowo udzielona w dokumencie wskazującym zakres i obszary, na których można przetwarzać dane osobowe;
  7. Profilowanie - to dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  8. Pseudonimizacja - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  9. Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  10. Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
  11. Podmiot przetwarzający - zwany również „Procesorem” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  12. Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
  13. Naruszenie ochrony danych osobowych - oznacza każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  14. Dane dotyczące zdrowia - oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
  15. Inspektor Ochrony Danych Osobowych (IOD) - wyznaczona przez administratora osoba o odpowiednich kwalifikacjach i wiedzy z zakresu ochrony i przetwarzania danych osobowych, której zadaniem jest monitorowanie przestrzegania zasad ochrony danych osobowych w jednostce organizacyjnej administratora, przeprowadzanie szkoleń pracowników oraz zapobieganie incydentom związanym z naruszaniem ochrony danych osobowych;
  16. Ocena skutków dla ochrony danych osobowych - to proces mający opisać przetwarzanie danych osobowych oraz ocenić niezbędność i proporcjonalność przetwarzania danych osobowych oraz pomóc w zarządzaniu danymi osobowymi i ryzykiem naruszenia praw i wolności osób fizycznych poprzez ocenę ryzyka i ustalenie środków mogącym mu zaradzić.
  17. Organ nadzorczy – Urząd Ochrony Danych Osobowych z siedzibą w Warszawie przy ul. Stawki 2;
  18. Użytkownik – osoba przetwarzająca dane osobowe na podstawie właściwego upoważnienia;

 

  1. Ocena skutków przetwarzania danych osobowych.

 

Zbiory danych przetwarzanych w spółce.

 

Administrator przetwarza następujące zbiory danych osobowych:

a)     zbiór danych osobowych pracowników Spółki;

b)    zbiór danych osobowych osób wchodzących w skład organów spółki;

c)     zbiory danych osobowych kandydatów na pracowników spółki;

d)    zbiory danych osobowych pracowników spółki;

e)     zbiory danych kontrahentów;

f)      zbiory danych klientów spółki.

 

W przypadku pracowników spółki, dane osobowe pozyskiwane są bezpośrednio – od osoby której dane dotyczą.

 

Dane kandydatów do pracy oraz pracowników spółki Administrator przetwarza dane w oparciu o:

1)     art. 22 1 § 1 i § 2 oraz art. 22 2 i art. 223 Kodeksu pracy.

2)     Art. 19 a ust. 5 i 5d ustawy z dnia z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym

Na chwilę obecną w spółce zatrudnionych jest …. pracowników. Dane osobowe pracowników spółki zebrane są w pojedyncze, uporządkowane zbiory, które zorganizowane są zgodnie z wytycznymi do art. 298 1 Kodeksu pracy tj. rozporządzeniem Ministra Pracy i Polityki Socjalnejz dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Proces przetwarzania i przechowywania dokumentacji pracowniczej odbywa się z uwzględnieniem zmian, które weszły w życie w dniu 1 stycznia 2019r.

 

Zbiory danych osobowych kandydatów do pracy, zawierają przede wszystkim informacje, o które może się ubiegać pracodawca. Wszelkie inne dane osobowe kandydatów do pracy w Spółce przetwarzane są na podstawie zgody osoby kandydującej.

 

Każdy pracownik może wyrazić pisemną zgodę na przetwarzanie jego danych osobowych, które nie są objęte zakresem wskazanym w art. 22 1 Kodeksu pracy. Do danych takich należą np. inne świadczenia przyznane przez pracodawcę – Administratora, zgoda na przetwarzanie wizerunku, czy też zgoda na wykorzystanie prywatnego numeru telefonu lub prywatnego adresu poczty elektronicznej.

 

Przetwarzanie danych osobowych klientów spółki następuje wyłącznie w oparciu o wyrażoną uprzednio zgodę. Ponadto, przetwarzanie danych osobowych klientów spółki może odbywać się na podstawie art. 6 ust 1 lit. b, c i f RODO.

 

Wszelkie operacje na danych osobowych kandydatów do pracy, pracowników oraz klientów spółki dokonywane są wyłącznie przez przeszkolone i upoważnione do tego osoby.

Każda z osób przetwarzających dane osobowe posiada pisemne upoważnienie do przetwarzania danych osobowych.

Dane osobowe przetwarzanie są w wersji papierowej oraz elektronicznej.

Personel sprzątający został przeszkolony w zakresie postępowania w przypadku ujawnienia danych osobowych poza miejscem ich przetwarzania. W spółce zorganizowano miejsce odkładcze dla ujawnionych dokumentów zawierających dane osobowe.

 

Przetwarzane przez administratora dane osobowe nie zawierają sobie wysokiego ryzyka naruszenia praw lub wolności osób, których te dane dotyczą. Zbiory danych osobowych przetwarzanych przez administratora należą do danych powszechnie przetwarzanych w ramach stosunku pracy oraz współpracy z klientami. Stanowią one zatem zbiór danych osobowych o charakterze identyfikacyjnym i podstawowym. Przetwarzanie tych zbiorów danych jest niezbędne do złożenia klientom Spółki oferty sprzedaży. W zakresie danych osobowych pracowników spółki, przetwarzanie danych osobowych jest niezbędne do realizowania praw pracowniczych. W większości przypadków podstawą do przetwarzania danych osobowych jest art. 6 ust 1 lit. a, b, c i f RODO. Oznacza to, że dane osobowe: przetwarzane są na podstawie zgody; w celu wykonania umowy, której stroną jest osoba, której dane dotyczą; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

 

           

  1. Postanowienia ogólne.

 

  1. Polityka dotyczy wszystkich Danych osobowych przetwarzanych przez STALPOL SAFES sp. z ograniczoną odpowiedzialnością (w dalszej części Administrator ), niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
  2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
  3. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:

1)     odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,

2)     kontrolę i nadzór nad przetwarzaniem danych osobowych,

3)     monitorowanie zastosowanych środków ochrony.

  1. Monitorowanie przez Administratora Danych Osobowych zastosowanych środków ochrony, obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
  2. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.

 

  1. Dane osobowe przetwarzane u administratora danych

 

  1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
  2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator, bez zbędnej zwłoki wykona czynności określone w art. 35 i nast. RODO.
  3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
  4. Administrator danych prowadzi rejestr czynności przetwarzania.

 

  1. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.

 

  1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych, zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Osobowych Polityką Bezpieczeństwa, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych w Spółce.
  2. Wszystkie dane osobowe w Spółce są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:

1)     W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.

2)     Dane są przetwarzane są rzetelnie i w sposób przejrzysty.

3)     Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

4)     Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.

5)     Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.

6)     Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane;

7)     Każda osoba przetwarzająca dane osobowe w systemie informatycznym zobowiązana jest do zachowania zasad poufności odnośnie hasła. Pierwsze hasło dostępu przekazywane jest przez Administratora. Po zalogowaniu się do systemu, każdy pracownik ma obowiązek ustawienia swojego, osobistego hasła oraz zachowania go w tajemnicy. Terminy zmiany haseł dostępu do systemów informatycznych, wyznacza osoba odpowiedzialna za obsługę tych systemów;

8)     Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO;

9)     Dane są zabezpieczone przed naruszeniami zasad ich ochrony.

  1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:

1)     naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;

2)     udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;

3)     zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienie danym osobowym ochrony;

4)     niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

5)     przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;

6)     spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;

7)     naruszenie praw osób, których dane są przetwarzane.

  1. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych, Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych lub wyznaczonego przez niego Inspektora Ochrony Danych Osobowych.
  2. Do obowiązków Administratora Danych/Inspektora Danych Osobowych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:

1)     pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,

2)     każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”,

3)     każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych w spółce w tajemnicy. „Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do przetwarzania danych osobowych”.

  1. Pracownicy zobowiązani są do:

1)     ścisłego przestrzegania zakresu nadanego upoważnienia;

2)     przetwarzania i ochrony danych osobowych zgodnie z przepisami;

3)     zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

4)     zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

 

 

  1. Inspektor Ochrony Danych Osobowych.

 

  1. Administrator danych osobowych może wyznaczyć Inspektora Ochrony Danych Osobowych (dalej Inspektor).
  2. Inspektor jest wyznaczany w drodze odrębnego dokumentu (zarządzenia, aktu powołania) na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. RODO.
  3. Powołanie Inspektora następuje na czas określony lub nieokreślony.
  4. Powołanie Inspektora może nastąpić spoza lub spośród personelu administratora lub podmiotu przetwarzającego. Inspektor może wykonywać również zadania na podstawie odrębnej umowy o świadczenie usług.
  5. Administrator publikuje dane kontaktowe Inspektora i zawiadamia o nich organ nadzorczy.
  6. Administrator zobowiązany jest do niezwłocznego włączania Inspektora we wszystkie sprawy dotyczące ochrony danych osobowych w spółce.
  7. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  8. Inspektor jest podmiotem niezależnym i z tego też względu nie może on otrzymywać instrukcji dotyczących wykonywania zadań z zakresu ochrony danych osobowych. Inspektor ochrony danych bezpośrednio podlega tylko i wyłącznie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
  9. W przypadku wyznaczenia przez Administratora swoich pełnomocników/prokurentów, Inspektor podlega również kierownictwu tych pełnomocników/prokurentów. W przypadku braku zgody pełnomocników/prokurentów co do sposobu wypełniania obowiązków Inspektora, decyduje głos bezpośredniego kierownictwa spółki.
  10. W przypadku powzięcia wątpliwości, co do wykonania polecenia Administratora w zakresie przetwarzania danych osobowych lub powzięcia wątpliwości co do zgodności z prawem polecenia wydanego przez Administratora, Inspektor może odmówić wykonania polecenia. W takiej sytuacji Inspektor zobowiązany jest do pisemnego uzasadnienia swojego stanowiska.
  11. Inspektor nie może zostać odwoływany ani ukarany przez administratora ani podmiot przetwarzający za prawidłowe wypełnianie swoich zadań z zakresu ochrony danych osobowych.
  12. Osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
  13. Inspektor Ochrony Danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań.
  14. Inspektor Ochrony Danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
  15. Do zadań Inspektora należy:

1)     informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na z mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

2)     monitorowanie przestrzegania przepisów prawa dotyczących ochrony danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

3)     udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO oraz współpraca z organem nadzorczym;

4)     pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

  1. Oprócz zadań wymienionych w ust. 14 i 15, do zadań Inspektora należy sporządzanie raportów z przetwarzania danych osobowych. Raporty sporządzane są w okresach sześciomiesięcznych i przedkładane Administratorowi.

 

  1. Obszary przetwarzania danych osobowych.

 

  1. Obszar, w którym przetwarzane są Dane osobowe na terenie siedziby Administratora. Obszar przetwarzania danych osobowych, obejmuje pomieszczenie biurowe zlokalizowane w Białych Błotach.
  2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
  3. W obszarach przetwarzania danych osobowych stosuje się następujące zasady przetwarzania danych:

1)     osoby przetwarzające dane osobowe zobowiązane są do zorganizowania miejsc pracy w taki sposób, aby monitory komputerów, tabletów lub innych urządzeń służących do przetwarzania danych osobowych nie były widoczne dla osób postronnych, które mają prawo do przebywania w tych pomieszczeniach;

2)     osoby przetwarzające dane osobowe zobowiązane są do zorganizowania miejsc pracy w taki sposób, aby osoby postronne, które mają prawo przebywać w pomieszczeniach których przetwarza się dane osobowe nie miały dostępu do dokumentów zawierających dane osobowe;

3)     osoby przetwarzające dane osobowe zobowiązane są do zorganizowania miejsc pracy w taki sposób, aby po zakończeniu przetwarzania danych osobowych wszelkie dokumenty zawierające dane osobowe zostały we właściwy sposób zabezpieczone, a w szczególności umieszczone w zamykanych szafach.

 

  1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 

  1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
  2. Zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:

1)     ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej;

2)     zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w pkt VII na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich;

3)     wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów zawierających dane osobowe;

4)     wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;

5)     ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall (lub innej równie skutecznej);

6)     wykonywanie kopii awaryjnych danych na zewnętrzne nośniki przechowywane w sejfie;

7)     ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem;

8)     zabezpieczenie dostępu do urządzeń spółki przy pomocy zmienianych w określonych odstępach czasu haseł dostępu;

9)     wykorzystanie szyfrowania danych przy ich transmisji.

  1. Osoby przetwarzające jakiekolwiek dane osobowe na wszelkich nośnikach danych, a w szczególności na służbowych telefonach komórkowych, laptopach, tabletach oraz urządzeniach typu pendrive, zobowiązane są do właściwego zabezpieczenia tych urządzeń przed nieuprawnionym dostępem osób trzecich.
  2. Osoby przetwarzające dane osobowe na nośnikach danych opisanych w ust. 3, zobowiązane są do systematycznego (co najmniej jeden raz w tygodniu) tworzenia kopii tych danych na wskazanym przez Administratora serwerze.
  3. Przetwarzanie danych osobowych na nośnikach danych jest dopuszczalne, o ile w przypadku zagubienia takiego nośnika istnieje możliwość zdalnego zablokowania do niego dostępu osobom trzecim lub też, nośnik ten jest w taki sposób zaszyfrowany, że uniemożliwia on nieuprawniony dostęp osobom trzecim do danych na nim zawartych.
  4. Każdy przypadek zagubienia, zniszczenia lub innego przypadku utracenia służbowego nośnika danych, należy niezwłocznie tj. w terminie 2 dni, zgłosić Administratorowi danych.

 

  1. Naruszenie zasad ochrony danych osobowych.

 

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator/Inspektor dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator /Inspektor zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator/Inspektor niezwłocznie zawiadamia o incydencie także osobę, której dane dotyczą.
  4. W przypadku zaistnienia zdarzenia opisanego w ust. 1, Administrator / Inspektor sporządzają raport z zaistniałego zdarzenia i przedkładają go Administratorowi.
  5. W raporcie, o którym mowa w ust. 4, należy określić przyczynę naruszenia ochrony danych osobowych oraz wskazać środki minimalizujące lub umożliwiające zapobiegnięcie podobnym naruszeniom w przyszłości.
  6. Wyróżnia się następujące kategorie naruszeń ochrony danych osobowych:

1)     przetwarzanie danych przez osoby do tego nieupoważnione;

2)     ujawnienie danych osobowych osób trzecich bez ich zgody;

3)     przypadkowe zniszczenie danych osobowych;

4)     utrata danych w wyniku:

a)     czynów zabronionych takich jak: kradzież, włamanie do systemu informatycznego;

b)    siły wyższej – powodzi, huraganu, pożaru lub innej katastrofy;

c)     wadliwego działania systemów informatycznych

d)    zagubienia nośnika danych.

 

  1. Powierzenie przetwarzania danych osobowych.

 

  1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
  2. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.

 

  1. Przekazywanie danych do państwa trzeciego.

 

  1. Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

 

  1. Postanowienia końcowe.

 

  1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy i Przepisów o ochronie danych osobowych.

 

 

       Bydgoszcz dnia 01 pażdziernika 2019 r.