POLITYKA PRYWATNOŚCI OCHRONY DANYCH OSOBOWYCH
w przedsiębiorstwie PUZZEL PRZEDSIĘBIORSTWO HANDLOWO USŁUGOWE MARCELINA WILK, NIP: 5512644631, Brody 354, 34-130 Kalwaria Zebrzydowska
Administrator Danych Osobowych: Marcelina Wilk
- PODSTAWA PRAWNA
Niniejsza „Polityka prywatności” stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) zwane RODO.
- CEL OPRACOWANIA DOKUMENTU
Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez PUZZEL PRZEDSIĘBIORSTWO HANDLOWO USŁUGOWE MARCELINA WILK zwaną dalej również jako „Firma”. Ponadto, celem niniejszej Polityki Prywatności jest ochrona danych osobowych, przetwarzanych przez Firmę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji systemów informatycznych, na poziomie odpowiadającym potrzebom organizacji.
- DEFINICJE
- administrator – Marcelina Wilk (również jako: „Firma”),
- dane osobowe –wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne),
- informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej,
- integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
- przetwarzanie danych osobowych –jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych,
- rozliczalność danych – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) zwane RODO,
- CEL POLITYKI PRYWATNOŚCI
Celem Polityki prywatności jest ochrona danych osobowych, przetwarzanych przez Firmę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.
- ZAKRES STOSOWANIA POLITYKI PRYWATNOŚCI
W ramach zabezpieczenia danych osobowych ochronie podlegają:
- sprzęt komputerowy – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne,
- oprogramowanie,
- dane osobowe zapisane na informatycznych nośnikach danych oraz dane przetwarzane w systemach informatycznych,
- hasła użytkowników,
- bazy danych i kopie zapasowe,
- wydruki,
- związana z przetwarzaniem danych dokumentacja papierowa.
Polityka prywatności dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Firmę w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Firmy i zawiera następujące informacje:
- wykaz pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych),
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
Polityka prywatności ma zastosowanie wobec wszystkich komórek organizacyjnych Firmy.
- Obszar przetwarzania danych osobowych
Przetwarzanie danych osobowych przez Firmę odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji papierowej. Obszar przetwarzania danych osobowych przez Firmę został określony w załączniku nr 1 do Polityki prywatności pt.: „Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe w Sklepie”. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych.
- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych
Wykaz zbiorów danych osobowych przetwarzanych przez Firmę oraz programów zastosowanych do przetwarzania tych danych stanowi załącznik 2 do Polityki prywatności pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.
- Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi
Pola informacyjne (rodzaje przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych zostały określone w dokumencie „Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania” stanowiącym załącznik nr 2 do Polityki prywatności.
- Sposób przepływu danych pomiędzy poszczególnymi systemami
W ramach procesów przetwarzania danych nie dochodzi do przepływu danych pomiędzy różnymi systemami informatycznymi.
- Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Do elementów zabezpieczenia danych osobowych przez Firmę zalicza się:
- stosowane metody zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne),
- odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne),
- nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
- bezpieczeństwo osobowe.
- zabezpieczenia fizyczne obejmują:
- dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
- samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
- przechowywanie akt w wersji papierowej w zabezpieczonych przed dostępem postronnych osób szafach,
- kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer, na którym dane osobowe przetwarzane są na bieżąco,
- zabezpieczenia techniczne obejmują:
- systemy informatyczne zastosowane do przetwarzania danych osobowych są legalne certyfikowane i aktualizowane,
- w systemach informatycznych w Firmie obowiązują zabezpieczenia na poziomie wysokim,
- zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników,
- zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane,
- system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
- tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
- zabezpieczenia organizacyjne obejmują:
- osobę odpowiedzialną za bezpieczeństwo danych osobowych jest Administrator danych, który opracowuje i aktualizuje Politykę prywatności, załączniki do Polityki prywatności;
- pracowników Firmy, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują Administratora;
- osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Firmy, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
- przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych.
- osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez udzielenie upoważnienia lub zawarcie umowy. Ewidencja osób upoważnionych do przetwarzania danych osobowych, stanowi załącznik 3 do Polityki prywatności.
- zabezpieczenie osobowe
- należy zawierać odrębne umowy o powierzenia danych lub wydawać upoważnienia;
- wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu i oprogramowania,
- należy niezwłocznie dokonywać wszelkich aktualizacji wymaganych przez stosowane oprogramowanie.
- ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI
- Za zarządzanie dokumentem Polityki Prywatności, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny Administrator.
- Z treścią niniejszego dokumentu powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
- Integralną część niniejszej Polityki prywatności stanowią następujące załączniki:
- Załącznik nr 1 – Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe;
- Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania;
- Załącznik nr 3 – Ewidencja osób upoważnionych do przetwarzania danych osobowych.
Załącznik nr 1 – Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe
Nazwa pomieszczenia | Adres |
Biuro | Brody 354, 34-130 Kalwaria Zebrzydowska |
Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania
Rodzaj przetwarzanych danych osobowych | System przetwarzania |
Dane użytkowników konta – imię, nazwisko, adres e-mail, numer telefonu, adres zamieszkania lub odbioru przesyłki, punkt pocztowy, wybrany punkt paczkomatu InPost | Microsoft Office Excel 2016 – plik zabezpieczony hasłem |
Załącznik nr 3 – Ewidencja osób upoważnionych do przetwarzania danych osobowych
Imię nazwisko | Stanowisko |
Marcelina Wilk | Właściciel |