POLITYKA BEZPIECZŃSTWA INFORMACJI
W LOGO PAWEŁ JABŁOŃSKI
BARSKA 123
33 – 300 NOWY SĄCZ

 

Dokument sporządzony dnia 25 maja 2018 roku zawierający 17 ponumerowanych stron


ADMINISTRATOR DANYCH OSOBOWYCH
PAWEŁ JABŁOŃSKI
BARSKA 123
33 – 300 NOWY SĄCZ

 

 

 

SPIS TREŚCI
I. Wstęp
II. Definicje polityki bezpieczeństwa.
III. Postanowienia ogólne
IV. Dane osobowe przetwarzane u administratora danych.
V. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.
VI. Obszar przetwarzania danych.
VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
VIII. Naruszenie zasad ochrony danych osobowych.
IX. Powierzenie przetwarzania danych osobowych.
X. Przekazywanie danych do państwa trzeciego.
XI. Postanowienia końcowe i załączniki.

 

 


I. Wstęp


Niniejsza Polityka bezpieczeństwa, zwana dalej polityką, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych podmiotów współpracujących z LOGO Paweł Jabłoński z siedzibą w Nowym Sączu w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

II. Definicje Polityki bezpieczeństwa


1) Administrator Danych osobowych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

2) System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowanych zastosowanych w celu przetwarzania danych

3) Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

4) Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

5) Ograniczenie przetwarzania - oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

6) Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

7) Pseudonimizacja - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

8) Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

9) Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

9) Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

10) Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

11) Zgoda osoby, której dane dotyczą - oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

12) Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

13) Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu

14) Dane genetyczne - oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

15) Dane biometryczne - oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

16) Dane dotyczące zdrowia - oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

17) Główna jednostka organizacyjna oznacza:
a) jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
b) jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;

18) Przedstawiciel - oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;

19) Przedsiębiorca - oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

20) Grupa przedsiębiorstw oznacza - przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

21) Wiążące reguły korporacyjne oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;

22) Organ nadzorczy - oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO;

23) Organ nadzorczy, którego sprawa dotyczy oznacza - organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:
a) administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
b) przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
c) wniesiono do niego skargę;

24) Transgraniczne przetwarzanie oznacza:

a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

25) Mający znaczenie dla sprawy i uzasadniony sprzeciw - oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;

26) Usługa społeczeństwa informacyjnego - oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535;

27) Organizacja międzynarodowa - oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 

III. Postanowienia ogólne


1. Polityka bezpieczeństwa dotyczy wszystkich danych osobowych przetwarzanych w LOGO Paweł Jabłoński z siedzibą w Wielogłowach, niezależnie od formy ich przetwarzania (przetwarzanie tradycyjne, zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
3. Polityka jest udostępniana do wglądu osobom których dane będą przetwarzane na ich wniosek, osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych celem zapoznania się z jej treścią.
4. Dla skutecznej realizacji Polityki bezpieczeństwa, Administrator danych osobowych zapewnia:
a) Odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne, których szczegółowy zakres znajduje się w instrukcji zarzadzania systemem informatycznym służącym do przetwarzania danych osobowych
b) Odpowiednie do zagrożeń i kategorii danych objętych ochroną rozwiązania organizacyjne
c) Kontrolę i nadzór nad przetwarzaniem danych osobowych
d) Monitorowanie zastosowanych środków ochrony
5. Monitorowanie przez Administratora danych osobowych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych osobowych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
6. Administrator danych osobowych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
IV Dane osobowe przetwarzane u administratora danych
1. Dane osobowe przetwarzane przez i Administratora Danych gromadzone są w zbiorach danych.
2. Administratora danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
4. Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi integralną część niniejszej polityki.
V Obowiązki i odpowiedzialność w zakresie zarzadzania bezpieczeństwem
1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarzadzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w LOGO Paweł Jabłoński.
2. Wszystkie dane osobowe w LOGO Paweł Jabłoński są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
a) W każdym wypadku gdy występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
b) Dane są przetwarzane rzetelnie i w sposób przejrzysty.
c) Dane osobowe zbierane są w konkretnych , wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
d) Dane osobowe przetwarzane są jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych
e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane
f) Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów , do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
g) Wobec osoby, której dane dotyczą wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
3. Administrator danych nie przekazuje nie przekazuje osobom, których dane dotyczą , informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej ( art. 14 ust. 5 pkt d RODO)
4. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
a) Naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach.
b) Udostępnienie lub umożliwienie udostępnienia danych osobom lub podmiotom do tego nieupoważnionym.
c) Zaniechanie choćby i nieumyślnie, dopełnienia obowiązku zapewnienia danym osobowym ochrony,
d) Niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczania
e) Przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania
f) Spowodowanie uszkodzenia, utraty , niekontrolowanej zamiany lub nieuprawnione kopiowanie Danych osobowych
g) Naruszenia praw osób, których dane są przetwarzane
5. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych,
6. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie umów cywilnoprawnych) należy dopilnowanie, by:
a) Pracownicy byli odpowiednio przygotowani do wykonywania swych obowiązków
b) Każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z załącznikiem stanowiącym integralną część ninieszej polityki.
c) Każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych w LOGO Paweł Jabłoński w tajemnicy. „Oświadczenie i zobowiązanie osoby do przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do przetwarzania danych osobowych” .
7. Pracownicy zobowiązani są do:
a) Ścisłego przestrzegania zakresu nadanego upoważnienia,
b) Przetwarzania i ochrony danych osobowych zgodnie z przepisami,
c) Zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania
d) Zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
8. Celem minimalizacji skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń występowania incydentów w przyszłości. zobowiązuje się każdą osobę upoważnioną do przetwarzania danych osobowych oraz zobowiązaną do zachowania poufności danych osobowych do bezzwłocznego poinformowania Administratora Danych Osobowych o możliwym naruszeniu.
a) Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
• niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
• niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
• nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
b) Do typowych incydentów bezpieczeństwa danych osobowych należą:
• zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
• zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych);
• umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
c) W przypadku stwierdzenia wystąpienia zagrożenia, Administrator Danych Osobowych prowadzi postępowanie wyjaśniające w toku, którego:
• ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;
• inicjuje ewentualne działania dyscyplinarne;
• rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości;
• dokumentuje prowadzone postępowania.
d) W przypadku stwierdzenia incydentu (naruszenia), Administrator Danych Osobowych prowadzi postępowanie wyjaśniające w toku, którego:
• ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały;
• zabezpiecza ewentualne dowody;
• ustala osoby odpowiedzialne za naruszenie;
• podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);
• inicjuje działania dyscyplinarne;
• wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości;
• dokumentuje prowadzone postępowania.

VI Procedura działań korygujących i zapobiegawczych

Celem procedury jest uporządkowanie i przedstawienie czynności związanych
z: inicjowaniem oraz realizacją działań korygujących i zapobiegawczych wynikających
z zaistnienia incydentów bezpieczeństwa lub zagrożeń systemu ochrony danych osobowych.

1. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy,
w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność
z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.
2. Osobą odpowiedzialną za nadzór nad procedurą jest Administrator Danych Osobowych.
3. Definicje:
a. Incydent - naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność.
b. Zagrożenie – potencjalna możliwość wystąpienia incydentu.
c. Korekcja – działanie w celu wyeliminowania skutków incydentu.
d. Działanie korygujące – jest to działanie przeprowadzane w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji.
e. Działanie zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej.
f. Kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki i instrukcji.

Opis czynności:
1. IOD jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są:
a. zgłoszenia od pracowników,
b. wiedza IOD,
c. wyniki kontroli wewnętrznych IOD, kontroli Administratora lub pozostałych.
2. W przypadku, gdy IOD stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji, osobę odpowiedzialną
3. IOD jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.
4. Po przeprowadzeniu działań korygujących lub zapobiegawczych, IOD jest zobowiązany do oceny efektywności ich zastosowania.
5. Powyższe czynności IOD w rejestruje w pliku stanowiącym integralną cześć niniejszej polityki.

VII Obszar przetwarzania danych osobowych

1. Obszar, w którym przetwarzane są Dane osobowe obejmuje pomieszczenia biurowe LOGO Paweł Jabłoński zlokalizowane w Wielogłowach 196, 33 -311 Wielogłowy..
2. Dodatkowo obszar w którym przetwarzane są dane osobowe stanowią wszystkie komputery przenośne oraz nośniki danych znajdujące się poza obszarem wskazanym powyżej, oraz obszar działania LOGO Paweł Jabłoński w zakresie realizacji zadań wynikających z poszczególnych umów.
3. Szczegółowe rozmieszczenie zbiorów dokumentacji papierowej i elektronicznej, zawierającej dane osobowe, opisane jest w załączniku który stanowi integralną cześć niniejszej polityki.
4. Wykaz zbiorów danych osobowych w postaci dokumentacji papierowej i elektronicznej wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opisany jest w załączniku stanowiącym integralną część niniejszej polityki.
5. Opis struktury zbiorów danych osobowych przedstawiono w załączniku stanowiącym integralną część niniejszej polityki.
6. Sposób przepływu danych osobowych pomiędzy systemami, w których przetwarzane są dane osobowe przedstawiono w załączniku który stanowi integralną cześć niniejszej polityki.

VIII Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych Danych.
2. Zastosowane środki ochrony ( techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:
a) Ograniczenie dostępu do pomieszczeń , w których przetwarzane są dane osobowe, jedynie dla osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystanych do przetwarzania danych osobowych wyłącznie w towarzystwie osoby upoważnionej, która zapewnia brak dostępu w jakiejkolwiek formie uzyskania danych przez osoby nieuprawnione, adekwatnymi środkami.
b) Zamykanie pomieszczeń tworzących obszar przetwarzania danych osobowych określony w pkt VII powyżej na czas nieobecności pracowników w sposób uniemożliwiający dostęp do n ich osób trzecich.
c) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentacji.
d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
e) Zastosowanie pisemnych umów powierzenia przetwarzania danych dla współpracy z podwykawcami przetwarzającymi dane osobowe.
f) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
g) Wykonywanie kopii awaryjnych danych na …..
h) Ochronę sprzętu komputerowego wykorzystywanego u administratora przez złośliwym oprogramowaniem.
i) Zabezpieczenie dostępu do urządzeń znajdujących się w Ośrodku Pomocy Społecznej przy pomocy haseł dostępu.
j) Wykorzystywanie szyfrowania danych przy ich transmisji.

IX Naruszenie zasad ochrony danych osobowych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszania praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór naruszenia określa załącznik nr 3 do niniejszej polityki.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

XI Powierzenie przetwarzania danych osobowych

1. Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
2. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
XII Przekazywanie danych do państwa trzeciego
1. Administrator danych osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.
2. W przypadku gdy że komunikacja pomiędzy Administratorem i osobą, której dane dotyczą odbywać się będzie przede wszystkim w wersji elektronicznej, m. in. przez pocztę elektroniczną, portale społecznościwe, komunikatory, wszelkie mobilne i komputerowe w tym do wykonywania połączeń głosowych i/lub połączeń audio przez Internet, etc., a Administrator nie ma wiedzy co do umiejscowienia serwerów podmiotów dostarczających te usługi, w konsekwencji czego Administrator informuje o zamiarze przekazania tych danych osobowych do państwa trzeciego w sytuacji gdyby serwer tych dostawców znajdował się poza terytorium Unii Europejskiej, co stanowi element konieczny do prawidłowego wykonania umowy. Poprzez zawarcie umowy z Administratorem, bądź wyrażenie zgody w trybie art. 6 ust. 1 lit. a Rozporządzenia w razie jakichkolwiek wątpliwości przyjmuje się, że osoba której dane dotyczą w zakresie komunikacji elektronicznej z administratorem upubliczniła swoje dane.

XIII Postanowienia końcowe

1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, przepisów o ochronie danych osobowych oraz Kodeksu karnego.
2. Integralną częścią niniejszej polityki bezpieczeństwa jest Instrukcja zarządzania systemem informatycznym oraz następujące załączniki:
Załącznik nr 1 – Wykaz budynków, pomieszczeń w których przetwarzane są dane
Załącznik nr 2 – Wykaz zbiorów danych osobowych
Załącznik nr 3 - Opis struktury zbioru danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań pomiędzy nimi.
Załącznik nr 4 – Sposób przepływu danych
Załącznik nr 5 – Wzór arkusza działań korygujących
Załącznik nr 6 – Wzór oświadczenia poufności
Załącznik nr 7 – Wzór ewidencji upoważnień do przetwarzania danych osobowych
Załącznik nr 8 – Wzór ewidencji oświadczeń poufności
Załącznik nr 9 – Wzór upoważnienia do przetwarzania danych osobowych
Załącznik nr 10 – Rejestr czynności przetwarzania danych
Załącznik nr 11 – Wzór oświadczenia i zobowiązania osoby przetwarzającej dane osobowe
Załącznik nr 12 – Wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego

Obowiązek informacyjny

W związku z wejściem w życie 25 maja 2018 roku, ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub RODO) LOGO Paweł Jabłoński  informuje że Administratorem Danych Osobowych jest Paweł Jabłoński mający siedzibę w Wielogłowach 196, 33 – 311 Wielogłowy.

LOGO Paweł Jabłoński szanuje prywatność klientów firmy i przestrzega przepisów prawa dotyczących ochrony danych osobowych. Polityka ochrony danych osobowych oraz system zarządzania danymi osobowymi  zostały opracowane w sposób gwarantujący Państwu bezpieczeństwo w zakresie zbierania, gromadzenia oraz przechowywania i przetwarzania Państwa danych osobowych. System naszych zabezpieczeń spełnia wszelkie kryteria nakładane przepisami prawa i jest zgodny z wymaganiami RODO.

Paweł Jabłoński jako Administrator Państwa danych zapewnia, że Państwa dane są przetwarzane wyłącznie na potrzeby realizacji zleconych spraw. LOGO Paweł Jabłoński nie sprzedaje, nie dzierżawi, nie wynajmuje ani też w jakikolwiek inny sposób nie ujawniamy danych osobowych klientów osobom trzecim, chyba że klient wyraził na to zgodę lub obligują firmę do tego przepisy powszechnie obowiązującego prawa. Szczegółowy zakres postępowania określony jest w Polityce prywatności.

LOGO Paweł Jabłoński przykłada szczególną wagę™ do ochrony prywatności i bezpieczeństwa w zakresie ochrony danych osobowych. Ponadto dostęp do naszych baz danych zawierających dane osobowe jest ograniczony wyłącznie do osób upoważnionych przez Administratora danych i jest udzielany wyłącznie w sytuacji uzasadnionej potrzeby dostępu do takich informacji, ze względu na realizację umowy.

W celu rozliczności tj. udowodnienia przestrzegania przepisów dotyczących przetwarzania danych osobowych LOGO Paweł Jabłoński będzie przechowywać dane przez okres, w którym zobowiązane jest do zachowania danych lub dokumentów je zawierających dla udokumentowania spełnienia wymagań prawnych i umożliwienia kontroli ich spełnienia przez organy publiczne. Na naruszenie zasad ochrony danych osobowych przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

LOGO Paweł Jabłoński przypominam, że klienci mają prawo wiedzieć, jakie dane osobowe są w  posiadaniu firmy mają prawo domagać się usunięcia danych osobowych, albo zaktualizowania danych osobowych, które są niekompletne, nieprawidłowe lub nieaktualne. Klienci firmy  mogą wykonywać swoje prawa kontaktując się bezpośrednio z administratorem  - Pawłem Jabłońskim Wielogłowy 196, 33 – 311 Wielogłowy, mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie obsługi JavaScript., tel: 604 419 705.

Ok, przejdź do serwisu Wychodzę

Ta strona wykorzystuje pliki cookies. Jeśli nie wyrażasz zgody, ustawienia dotyczące plików cookies możesz zmienić w swojej przeglądarce.

Akceptuję