Polityka Prywatności
POLITYKA OCHRONY DANYCH OSOBOWYCH
w firmie
F.H.U. DOBEK SPÓŁKA JAWNA DOBEK SEBASTIAN, DOBEK ANDRZEJ
Na podstawie art. 24 ust. 2, w zw. z art. 5 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 04.05.2016 r. z późniejszymi zmianami) Administrator danych osobowych firma F.H.U. DOBEK SPÓŁKA JAWNA DOBEK SEBASTIAN, DOBEK ANDRZEJ przyjmuje do stosowania Politykę ochrony danych osobowych.
§1.
DEFINICJE
1. Na potrzeby niniejszej Polityki, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań:
a) „RODO” – Rozporządzenie o ochronie danych osobowych;
b) „Administrator” – F.H.U. DOBEK SPÓŁKA JAWNA DOBEK SEBASTIAN, DOBEK ANDRZEJ;
c) „podmiot przetwarzający” – zwany dalej podmiotem przetwarzającym;
d) „organ nadzorczy” – Prezes UODO;
e) „naruszenie ochrony danych osobowych” - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
f) „Polityka” – Polityka ochrony danych osobowych w firmie F.H.U. DOBEK SPÓŁKA JAWNA DOBEK SEBASTIAN, DOBEK ANDRZEJ
§2.
OCENA GOTOWOŚCI DO WDROŻENIA RODO
Raport z oceny gotowości do wdrożenia RODO stanowi załącznik do Polityki. Ocenę gotowości przeprowadziła firma Mobilne Centrum Kredytowe Finance Daniel Pawłowski.
§3.
POLITYKA OCHRONY DANYCH PRACOWNIKÓW
1. Administrator wprowadza następujące zasady ochrony danych pracowników:
a) w zakresie procesu rekrutacji: minimalizacja danych
b) w zakresie prowadzenia akt pracowniczych: przetwarzania zgodnego z prawem, rzetelnego i przejrzystego
c) w zakresie wypłaty wynagrodzeń i innych świadczeń przysługujących pracownikom: rozliczalności przetwarzania
d) w zakresie ograniczenia dostępu do informacji: dostęp do danych osób do tego upoważnionych
§4.
OGÓLNE ZASADY DOPEŁNIANIA OBOWIĄZKÓW INFORMACYJNYCH
Wprowadza się Wzór klauzul informacyjnych, o których mowa w art. 13 i 14 RODO, stanowiący załącznik do Polityki.
§5.
POLITYKA RETENCJI DANYCH
1. Dane osobowe będą przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator jest uprawniony do przechowywania danych osobowych przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.
2. Okres przechowywania danych osobowych został określony przez Administratora w treści prowadzonego przez niego Rejestru czynności przetwarzania.
3. Po upływie okresu przechowywania danych osobowych Administrator usunie dane osobowe .
§6.
WYZNACZENIE INSPEKTORA OCHRONY DANYCH
Administrator nie wyznacza Inspektora ochrony danych, z uwagi na to, iż nie spełnia żadnej z przesłanek, określonych w art. 37 ust. 1 RODO. Administrator nie jest organem lub podmiotem publicznym. Administrator po przeprowadzeniu szczegółowej analizy ustalił, iż główna działalność administratora nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, jak również główna działalność administratora nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Te same ustalenia podjęto w związku z czynnościami powierzonymi przez innych administratorów, w trybie art. 28 RODO.
Administrator wyznacza Inspektora Ochrony Danych Sebastian Dobek Administrator nie wyznacza Inspektora Ochrony Danych wspólnie z innymi administratorami lub podmiotami przetwarzającymi. Administrator publikuje dane kontaktowe Inspektora Ochrony Danych i zawiadamiają o nich organ nadzorczy. Administrator zapewnia, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
§7.
ZADANIA INSPEKTORA OCHRONY DANYCH
1. Administrator powierza Inspektorowi Ochrony Danych, poza realizacją zadań określonych w art. 39 ust. 1 RODO, wykonywanie następujących czynności:
a) Prowadzenie Rejestru czynności przetwarzania;
b) Tworzenie umów powierzenia danych
c) Dbanie o przestrzeganie przepisów RODO
§8.
ZASADY UPOWAŻNIANIA DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
2. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik do Polityki.
3. Wzór rejestru osób upoważnionych do przetwarzania danych osobowych stanowi załącznik do Polityki.
§9.
REJESTR CZYNNOŚCI PRZETWARZANIA I KATEGORII CZYNNOŚCI PRZETWARZANIA
1. Wytyczne w zakresie prowadzenia Rejestru czynności przetwarzania i Rejestru kategorii czynności przetwarzania, będące zaleceniami organu nadzorczego, stanowią załącznik do Polityki.
2. Wzór Rejestru czynności przetwarzania stanowi załącznik do Polityki.
3. Wzór Rejestru kategorii czynności przetwarzania stanowi załącznik do Polityki.
4. Rejestry, o których mowa w ust. 2 i 3 prowadzi Inspektor Ochrony Danych w formie elektronicznej.
§10.
PRZETWARZANIE NA PODSTAWIE ZGODY
1. W przypadku, gdy postawą przetwarzania jest zgoda osoby, której dane dotyczą, administrator, działając w celu wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych, stosuje:
a) oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. a RODO, którego wzór stanowi załącznik do Polityki;
b) oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych na podstawie art. 9 ust. 2 lit. a RODO, którego wzór stanowi załącznik do Polityki.
2. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie i następuje z wykorzystaniem oświadczenia o wycofaniu zgody, który stanowi załącznik do Polityki.
§11.
PROCEDURY ŻĄDANIA DOSTĘPU DO DANYCH
1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania informacji określonych w art. 15 ROOD. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, jest informowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem. Wzór wniosku o uzyskanie dostępu do danych stanowi załącznik do Polityki.
2. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu, z zastrzeżeniem, iż za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator pobierze opłatę w wysokości wynikającej z kosztów administracyjnych, o czym informuje wnioskodawcę, przed dostarczeniem kopii danych. Wzór wniosku o uzyskanie kopii danych stanowi załącznik do Polityki.
3. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Wzór wniosku o sprostowanie i uzupełnienie danych stanowi załącznik do Polityki.
4. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, wyłącznie na zasadach określonych w art. 17 RODO. Wzór wniosku o usunięcie danych stanowi załącznik do Polityki.
5. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania jedynie w przypadkach, o których mowa w art. 18 RODO. Wzór wniosku o ograniczenie przetwarzania stanowi załącznik do Polityki.
6. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18 RODO, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
7. Osoba, której dane dotyczą, ma prawo otrzymać od administratora w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, wyłącznie na warunkach określonych w art. 20 RODO. Wzór wniosku stanowi załącznik do Polityki.
8. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania. Administrator nie będzie przetwarzać tych danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w art. 21 ust. 1 i 2 RODO oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji. Wzór wniosku w sprawie wniesienia sprzeciwu stanowi załącznik do Polityki.
9. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, na zasadach określonych w art. 22 RODO.
10. Administrator udostępnia osobie, której dane dotyczą, żądane informacje i dane w formie pisemnej lub elektronicznej.
§12.
OCENA PODMIOTU PRZETWARZAJĄCEGO
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, będzie on korzystał wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Wzór Kwestionariusza oceny podmiotu przetwarzającego stanowi załącznik do Polityki.
3. Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik do Polityki.
§13.
OCENA SKUTKÓW DLA OCHRONY DANYCH
1. Ocena skutków dla ochrony danych jest dokonywana na postawie art. 35 RODO.
2. Wzór dokumentacji oceny skutków dla ochrony danych stanowi załącznik do Polityki.
3. Ocena skutków dla ochrony danych jest prowadzona z uwzględnieniem procesu obsługi klienta, specyfiki miejsca prowadzonej działalności, dostępu do danych.
§14.
UPRZEDNIE KONSULTACJE
1. Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35 RODO, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
2. Administrator prowadzi dokumentacje w zakresie realizacji obowiązku wynikającego z art. 35 RODO.
§15.
KODEKSY POSTĘPOWANIA I MECHANIZMY CERTYFIKACJI
Nie dotyczy
§16.
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH
Nie dotyczy
§17.
BEZPIECZEŃSTWO INFORMATYCZNE, W TYM ZASADY ANONIMIZACJI I PSEUDONIMIZACJI
1. Administrator wprowadza następujące zasady bezpieczeństwa informatycznego:
a) Hasła startowe do BIOS komputera, na którym przetwarzane są dane osobowe,
2. Administrator wprowadza następujące zasady szyfrowania zasobów i transmisji danych: ilość znaków – 8, Duże i małe litery – 1, Cyfry – 1, Znaki specjalne – 1, ważność hasła – 30 dni
3. Administrator wprowadza następujące zasady odzyskiwania danych po awarii sprzętu wykorzystywanego do przetwarzania danych osobowych tworzenie backupów raz na miesiąc przechowywanych na serwerach lokalnych lub macierzach serwerów wykonujących backup lub magazynujących dane.
§18.
KONTROLA DOSTĘPU FIZYCZNEGO
1. Administrator wprowadza następujące zasady kontroli dostępu fizycznego:
a) Upoważnienia osób do poszczególnych stref w pomieszczeniach firmy.
§19.
ZABEZPIECZENIA ORGANIZACYJNE
1. Administrator wprowadza następujące zabezpieczenia organizacyjne:
a) Szafki zamykane na klucz – gdzie przechowywane są dane osobowe,
b) hasła – na urządzeniach w których przetwarzane są dane osobowe.
§20.
WYKORZYSTYWANIE PRYWATNYCH URZĄDZEŃ PRACOWNIKÓW DO CELÓW SŁUŻBOWYCH
1. Wykorzystywanie prywatnych urządzeń pracowników administratora do celów służbowych jest dopuszczalne wyłącznie po uzyskaniu pisemnej zgody administratora.
2. Pracownik, który wykorzystuje prywatne urządzenie do celów służbowych, wyraża zgodę na dostęp upoważnionego pracownika administratora do zasobów jego urządzenia w celu zabezpieczenia danych będących własnością administratora.
3. Administrator indywidualnie, wobec każdego z pracowników i w formie pisemnej, ustala zasady dotyczące wykorzystania urządzeń mobilnych i/lub pracy w systemie zadaniowego czasu pracy, tak aby zapewnić bezpieczeństwo informacji i ochrony danych.
§21.
POLITYKA CZYSTEGO BIURKA
Administrator zobowiązuje pracowników upoważnionych do przetwarzania danych osobowych, do zachowania polityki czystego biurka i czystego ekranu.
§22.
AUDYT WEWNĘTRZNY
1. Administrator wprowadza następującą metodykę oraz plan realizacji zadań audytowych na podstawie zbierania danych w siedzibie firmy.
2. Administrator wprowadza następujące zasady dokonywania przeglądów zastosowanych środków technicznych i organizacyjnych zabezpieczenia danych regularne kontrole działania obecnych środków i ewentualną modyfikację.
§23.
PROCEDURA POSTĘPOWANIA W RAZIE NARUSZENIA ORAZ PROCEDURA POWIADOMIENIA O NARUSZENIU DANYCH
1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi, zgodnie z postanowieniami umowy o powierzenie przetwarzania danych osobowych, zawartej z podmiotem przetwarzającym.
3. Zgłoszenie dokonywane jest w formie przyjętej przez organ nadzorczy. Treść zgłoszenia zawiera elementy wskazane w art. 33 ust. 3 RODO.
4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze oraz prowadzi rejestr naruszeń, którego wzór stanowi załącznik do Polityki.
5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie ma formę pisemną. Zawiadomienie nie jest wymagane w sytuacjach wskazanych w art. 34 ust. 3 RODO.
§24.
DZIAŁANIA SZKOLENIOWE I UŚWIADAMIAJĄCE
1. Administrator wprowadza następujące zasady realizacji działań szkoleniowych szkolenie co 6 miesięcy celem aktualizacji bieżących przepisów dotyczących ochrony danych osobowych.
2. Administrator wprowadza następujące zasady realizacji działań upowszechniających informowanie o przetwarzaniu danych osobowych, o możliwości wglądu w dane oraz możliwość ich usunięcia.
§25.
METODYKA ZARZĄDZANIA RYZYKIEM
Minimalizacja ryzyka związanego z przetwarzaniem danych