Polityka prywatności

POLITYKA PRYWATNOŚCI OCHRONY DANYCH OSOBOWYCH

w przedsiębiorstwie PUZZEL Spółka Cywilna Marcelina Wilk i Kamil Wilk, NIP: 5512646943, Brody 354, 34-130 Kalwaria Zebrzydowska

Administrator Danych Osobowych: Kamil Wilk, Marcelina Wilk

1. PODSTAWA PRAWNA

Niniejsza „Polityka prywatności” stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) zwane RODO.

• CEL OPRACOWANIA DOKUMENTU

Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez PUZZEL Spółka Cywilna Marcelina Wilk i Kamil Wilk zwaną dalej również jako „Firma”. Ponadto, celem niniejszej Polityki Prywatności jest ochrona danych osobowych, przetwarzanych przez Firmę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji systemów informatycznych, na poziomie odpowiadającym potrzebom organizacji.

• DEFINICJE
• administrator – Marcelina Wilk , Kamil Wilk (również jako: „Firma”),
• dane osobowe –wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne),
• informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej,
• integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
• poufność danych – właści­wość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
• przetwarzanie danych osobowych –jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych,
• rozliczalność danych – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
• rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) zwane RODO,
• CEL POLITYKI PRYWATNOŚCI

Celem Polityki prywatności jest ochrona danych osobowych, przetwarzanych przez Firmę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.

• ZAKRES STOSOWANIA POLITYKI PRYWATNOŚCI

W ramach zabezpieczenia danych osobowych ochronie podlegają:

1. sprzęt komputerowy – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne,
2. oprogramowanie,
3. dane osobowe zapisane na informatycznych nośnikach danych oraz dane  przetwarzane w systemach informatycznych,
4. hasła użytkowników,
5. bazy danych i kopie zapasowe,
6. wydruki,
7. związana z przetwarzaniem danych dokumentacja papierowa.

Polityka prywatności dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Firmę w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Firmy i zawiera następujące informacje:

1. wykaz pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych),
   1. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych,
   1. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi,
   1. sposób przepływu danych pomiędzy poszczególnymi systemami,
   1. środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,

Polityka prywatności ma zastosowanie wobec wszystkich komórek organizacyjnych Firmy.

1. Obszar przetwarzania danych osobowych

Przetwarzanie danych osobowych przez Firmę odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji papierowej. Obszar przetwarzania danych osobowych przez Firmę został określony w załączniku nr 1 do Polityki prywatności pt.: „Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe w Sklepie”. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych.

• Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych

Wykaz zbiorów danych osobowych przetwarzanych przez Firmę oraz programów zastosowanych do przetwarzania tych danych stanowi załącznik 2 do Polityki prywatności pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.

• Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi

Pola informacyjne (rodzaje przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych zostały określone w dokumencie „Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania” stanowiącym załącznik nr 2 do Polityki prywatności.

• Sposób przepływu danych pomiędzy poszczególnymi systemami

W ramach procesów przetwarzania danych nie dochodzi do przepływu danych pomiędzy różnymi systemami informatycznymi.

• Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Do elementów zabezpieczenia danych osobowych przez Firmę zalicza się:

1. stosowane metody zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne),
   1. odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne),
   1. nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
   1. bezpieczeństwo osobowe.
2. zabezpieczenia fizyczne obejmują:
   1. dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
   1. samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
   1. przechowywanie akt w wersji papierowej w zabezpieczonych przed dostępem postronnych osób szafach,
   1. kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer, na którym dane osobowe przetwarzane są na bieżąco,
3. zabezpieczenia techniczne obejmują:
4. systemy informatyczne zastosowane do przetwarzania danych osobowych są legalne certyfikowane i aktualizowane,
5. w systemach informatycznych w Firmie obowiązują zabezpieczenia na poziomie wysokim,
6. zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników,
7. zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane,
8. system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
9. tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
10. zabezpieczenia organizacyjne obejmują:
11. osobę odpowiedzialną za bezpieczeństwo danych osobowych jest Administrator danych, który opracowuje i aktualizuje Politykę prywatności, załączniki do Polityki prywatności;
12. pracowników Firmy, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują Administratora;
    1. osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Firmy, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
    1. przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych.
    1. osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez udzielenie upoważnienia lub zawarcie umowy. Ewidencja osób upoważnionych do przetwarzania danych osobowych, stanowi załącznik 3 do Polityki prywatności.
13. zabezpieczenie osobowe
14. należy zawierać odrębne umowy o powierzenia danych lub wydawać upoważnienia;
15. wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu  i oprogramowania,
16. należy niezwłocznie dokonywać wszelkich aktualizacji wymaganych przez stosowane oprogramowanie.
17. ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI
18. Za zarządzanie dokumentem Polityki Prywatności, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny Administrator.
19. Z treścią niniejszego dokumentu powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
20. Integralną część niniejszej Polityki prywatności stanowią następujące załączniki:
    1. Załącznik nr 1 – Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe;
    1. Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania;
    1. Załącznik nr 3 – Ewidencja osób upoważnionych do przetwarzania danych osobowych.

Załącznik nr 1 – Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe

Nazwa pomieszczenia	Adres
Biuro	Brody 354, 34-130 Kalwaria Zebrzydowska

Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania

Rodzaj przetwarzanych danych osobowych	System przetwarzania
Dane użytkowników konta – imię, nazwisko, adres e-mail, numer telefonu, adres zamieszkania lub odbioru przesyłki, punkt pocztowy, wybrany punkt paczkomatu InPost	Microsoft Office Excel 2016 – plik zabezpieczony hasłem

Załącznik nr 3 – Ewidencja osób upoważnionych do przetwarzania danych osobowych

Imię nazwisko	Stanowisko
Marcelina Wilk	Współwłaściciel
Kamil Wilk	Współwłaściciel