Menu
Cart

Polityka Bezpieczeństwa 

Polityka Bezpieczeństwa  Przedsiębiorstwa „Nowoczesne Kręgarstwo Alina Piwońska” 

Preambuła  

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 730 z późn. zm) oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) (Dz.U. UE L119 z 4 maja 206 r., poz.113), nakłada na administratora danych osobowych następujące obowiązki: 

  1. zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem, 
  2. zabezpieczenie danych przed nieuprawnionym dostępem, 
  3. zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym (nieuprawnionym pozyskaniem), 
  4. zabezpieczenie przed utratą danych, 
  5. zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną modyfikacją. 

Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania. 

Podstawa prawna  

Podstawę prawną dla niniejszych regulacji stanowią: 

  • Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018, poz. 730 z późn. zm.) 
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679  z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) (Dz.U. UE L119 z 4 maja 206 r., poz.113), 
  • inne akty prawa powszechnie obowiązującego. 

Rozdział 1 

Regulacje Ogólne  

Pkt. 1. Zagadnienia wstępne i definicje 

1. Ilekroć w dokumencie mowa o: 

  • Ustawie – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 730 z późn. zm.)) 
  • Przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska”– rozumie się przez to Przedsiębiorstwo „Nowoczesne Kręgarstwo Alina Piwońska” z siedzibą w Sopocie, ul. Dr Ludwika Zamenhofa 2/1, 81-869 Sopot, REGON: 382694647, NIP: 6691603430  
  • Administratorze Danych Osobowych- organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Zajmuje się on również zapewnianiem przestrzegania przepisów o ochronie danych osobowych oraz prowadzeniem rejestru danych osobowych. W tym przypadku będzie to „Nowoczesne Kręgarstwo Alina Piwońska” z siedzibą w Sopocie, ul. Dr Ludwika Zamenhofa 2/1, 81-869 Sopot, REGON: 382694647, NIP: 6691603430 
  • danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne bez nadmiernych nakładów finansowych, czasowych lub działań, 
  • przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,    a zwłaszcza te, które wykonuje się w systemach informatycznych, 
  • bezpieczeństwie – rozumie się przez to stan faktyczny uniemożliwiający wykorzystanie, przepływ, modyfikację lub zniszczenie informacji w przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska” przez osoby postronne lub nieupoważnione, 
  • nośnikach danych – rozumie się przez to przedmioty fizyczne (elektroniczne, papierowe), na których możliwe jest zapisanie informacji w celu ich przechowywanie, przetwarzania i transmisji. Każdy nośnik danych charakteryzuje określona gęstość zapisu, wynikająca z jego właściwości fizycznych; 
  • incydencie- rozumie się przez to pojedyncze lub serię niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji lub zmniejszeniem poziomu usług systemowych, które stwarzają znaczne prawdopodobieństwo zakłócenia działania systemu informatycznego i zagrażają bezpieczeństwu informacji; naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność, integralność; 
  • profilowanie- rozumie się przez to automatyczny proces przetwarzania danych osobowych, dopuszczalny pod warunkiem spełnienia przesłanek określonych przepisami prawa 

2. Przedsiębiorstwo ”Nowoczesne Kręgarstwo Alina Piwońska” dokłada wszelkich starań celem zapewnienia bezpieczeństwa informacji. W szczególności zapewnia, aby dane były: 

  • przetwarzane zgodnie z prawem, 
  • zbierane dla oznaczonych, zgodnych z prawem celów, 
  • merytorycznie poprawne i adekwatne w stosunku do celów, 
  • przechowywane (tak, żeby ich nie udostępniać i nie przechowywać dłużej niż to konieczne dla osiągnięcia celów). 

3. Polityka bezpieczeństwa określa tryb postępowania w przypadku, gdy: 

  • zbierane są dane osobowe, 
  • przetwarzane są dane osobowe, 
  • dochodzi do kontroli przetwarzania danych osobowych, 
  • stwierdzono zagrożenie bezpieczeństwa danych osobowych, 
  • stwierdzono naruszenie zabezpieczenia systemu informatycznego. 

4. Przedsiębiorstwo „Nowoczesne Kręgarstwo Alina Piwońska” gwarantuje osobom fizycznym, których dane osobowe są przetwarzane w związku z jego funkcjonowaniem, realizacje uprawnień gwarantowanych im przez obowiązujące przepisy prawa. 

5. W szczególności każdej osobie fizycznej, której dane osobowe są przetwarzane w związku z funkcjonowaniem Przedsiębiorstwa „Nowoczesne Kręgarstwo Alina Piwońska” przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art. 32-35 Ustawy.  

6.  Osoby fizyczne, których dane osobowe są przetwarzane w związku z funkcjonowaniem Przedsiębiorstwa „Nowoczesne Kręgarstwo Alina Piwońska” uzyskują informacje o przysługujących im prawach w sposób określony w niniejszym dokumencie.  

7. Zastosowane zabezpieczenia mają zapewnić:  

  • poufność danych- rozumianą jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom, 
  • integralność danych- rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 
  • rozliczalność danych- rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, 
  • integralność systemu- rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji zamierzonej, jak i podstawowej, 
  • dostępność informacji- rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne; 
  • zarządzanie ryzykiem- rozumiane jako proces identyfikowania, monitorowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa informacji, które może dotyczyć systemów informatycznych i tradycyjnych służących do przetwarzania danych osobowych. 

 Pkt. 2.  Administrator Danych 

1.  Zgodnie z ustawą, Administratorem Danych Osobowych jest Alina Piwońska prowadząca działalność gospodarczą pod firmą „Nowoczesne Kręgarstwo Alina Piwońska” 

2.  Administrator Danych jest obowiązany zapewnić kontrolę nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.  

3.  Na Administratorze Danych ciążą obowiązki wynikające z zapisów Ustawy i Rozporządzenia.  

4. Administrator Danych Osobowych podejmuje decyzje w zakresie realizacji celów i zapewnienia środków zapewniających bezpieczeństwo przy przetwarzaniu danych osobowych, zgodnie z wymogami i zaleceniami wynikającymi z przepisów prawa, w celu ochrony osób, których dotyczą. 

5. Administrator Danych Osobowych pełni funkcję kontrolną w zakresie poprawnego przetwarzania danych osobowych oraz nadzoruje przestrzeganie zasad zawartych w Polityce Bezpieczeństwa.               

Pkt. 3. Zbieranie danych osobowych 

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. 

2. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 

  • adresie swojej siedziby i pełnej nazwie, 
  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 
  • prawie dostępu do treści swoich  danych oraz ich poprawiania, 
  • dobrowolności podania danych. 

3. Informacja, o której mowa w punkcie 1.4.2 udzielana jest pisemnie (lub w formie dokumentu elektronicznego) najpóźniej w momencie zbierania danych osobowych. 

Pkt. 4. Obowiązki Administratora 

1. Administrator spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę, realizując otrzymane w tym zakresie żądania, w tym: 

  • obowiązki informacyjne- Administrator przekazuje osobom prawem wymagane informacje przy zbieraniu danych i innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków; 
  • możliwość wykonania żądań- Administrator weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających; 
  • obsługa żądań- Administrator zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane, 
  • zawiadamianie o naruszeniach- Administrator stosuje procedury pozwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych, 
  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 
  • nadzorowanie przestrzegania zasad ochrony danych osobowych, tj. środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, ze szczególnym uwzględnieniem zabezpieczenia danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, w tym nadzór nad obiegiem oraz przechowywaniem materiałów i dokumentów zawierających dane osobowe; 
  • nadzorowanie opracowania i aktualizacji dokumentacji opisującej sposób przetwarzania danych, środki ich ochrony oraz przestrzegania zasad w niej określonych, 
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 
  • nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz organizacją kontroli przebywających w nich osób, 
  • zapewnienie przeciwdziałania incydentom oraz prowadzenie rejestru incydentów i zagrożeń, 
  • zapewnienie szkoleń osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów o ochronie danych osobowych oraz zapewnienie bieżącej edukacji w zakresie polityki bezpieczeństwa, 
  • zapewnienie właściwego poziomu bezpieczeństwa systemu informatycznego, w tym danych osobowych w nich przetwarzanych, 
  • zapewnienie mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolę dostępu do danych osobowych, 
  • inicjatywa w zakresie zapewnienia alternatywnego, awaryjnego zasilania systemu informatycznego oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych, 
  • podejmowanie działań zabezpieczających system informatyczny w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu, informacji o zmianach w sposobie działania systemu lub innych urządzeń wskazującej na naruszenie bezpieczeństwa danych, 
  • zapewnienie ochrony systemu teleinformatycznego oraz danych osobowych przesyłanych za pośrednictwem tych systemów, 
  • zapewnienie ochrony danych osobowych w związku z naprawą, konserwacją oraz likwidacją systemu informatycznego, w tym urządzeń komputerowych, na których zapisane są dane osobowe, 
  • zapewnienie przeglądów, konserwacji oraz uaktualnień systemu służącego do przetwarzania danych osobowych, 
  • przestrzeganie przepisów bhp i przepisów przeciwpożarowych w przynależnych pomieszczeniach. 

2. W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator jest obowiązany poinformować tę osobę o: 

  • adresie swojej siedziby i pełnej nazwie, 
  • celu i zakresie zbierania danych, a w szczególności o znanych mu w czasie udzielenia informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 
  • dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej i konsekwencjach niepodania danych, 
  • prawnie uzasadnionym interesie administratora, jeżeli na tej podstawie odbywać się będzie przetwarzanie danych, 
  • okresie, przez który dane osobowe będą przechowywane lub o kryteriach tego okresu, 
  • prawach osoby, której dane dotyczą, tj. prawie do usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, cofnięcia zgody (gdy osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych). 

 3. W przypadku pozyskania danych osobowych z innego źródła, niż osoba, której dane dotyczą, Administrator jest zobowiązany poinformować tę osobę również o źródle pozyskania danych oraz uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych.

Obowiązek informacyjny określony w Pkt.4.2 powinien być wykonany w momencie zbierania danych z wyjątkiem sytuacji, w której przepis innej ustawy zezwala na przetwarzanie danych osobowych lub osoba, której dane dotyczą, posiada już informacje, których udzielenia wymaga art. 24 ust. 1 ustawy o ochronie danych osobowych. 

Obowiązek informacyjny określony w Pkt. 4.3 powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie, z wyjątkiem sytuacji wynikających z art. 25 ust. 2 ustawy o ochronie danych osobowych. 

 Administrator posiada zasady i metody zarządzania minimalizacją (privacy by default), a w tym: 

  • zasady zarządzania adekwatnością danych; 
  • zasady reglamentacji i zarządzania dostępem do danych; 
  • zasady zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności. 

 Pkt. 5. Zgoda na przetwarzanie danych osobowych 

1. Zgodnie z art. 4 ust. 1 RODO, zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczące jej danych osobowych. 

Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana ani wynikać z oświadczenia woli o innej treści. 

Zgodnie z art. 32 RODO preambuły RODO, w przypadku pozyskania zgody w formie innej niż pisemna, na Administratorze ciąży obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. 

Zgoda na przetwarzanie danych osobowych powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, należy pozyskać odrębną zgodę na każdy cel. 

Zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie w sposób tak samo prosty i przystępny, w jaki została pozyskana. 

Pkt. 6. Udostępnianie danych osobowych 

1. Dane osobowe będące w posiadaniu administratora są udostępniane zgodnie z zapisami Ustawy.  

2. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, zgodnie z brzmieniem Ustawy. 

3. W szczególności administrator danych jest obowiązany, na wniosek osoby, której dotyczą dane, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, w szczególności podać w formie zrozumiałej:   

  • jakie dane osobowe zawiera zbiór, 
  • w  jaki sposób zebrano dane, 
  • w jakim celu i w jakim zakresie dane są przetwarzane 
  • w jakim zakresie oraz komu dane zostały udostępnione. 

4. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w punkcie 1.5.3 udziela się na piśmie. 

5. Administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.  

6. W przypadku, w którym podmiot określony w umowie powierzenia danych osobowych, w zakresie realizacji swoich usług korzysta z pomocy innych podmiotów (podpowierzenie danych), wymagana jest szczegółowa lub ogólna zgoda Administratora na przekazanie powierzonych danych, wyrażona w formie pisemnej lub równoważnej jej formie elektronicznej. 

 Rozdział 2  

Wykazy 

Pkt. 1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. 

1. Dane osobowe przetwarzane są w budynku przy ul. Żywiczna 8A/2, 30-251 Kraków,  

2. Budynki i pomieszczenia zabezpieczone są przed dostępem osób trzecich w sposób umożliwiający dostęp do danych osobowych przez osobę nieuprawnioną.  

3. Administrator do przechowywania i przetwarzania danych osobowych korzysta z serwerów…… 

4. Dostawcy usług serwerowych zabezpieczają swoje pomieszczenia przed dostępem osób trzecich według wewnętrznych procedur. 

5. Nośniki informacji są przechowywane w budynku przy ul. Dr Ludwika Zamenhofa 2/1, 81-869 Sopot. Budynek oraz biuro są zamykane na klucz. 

Pkt. 2  Wykaz zbiorów danych osobowych wraz ze wskazaniem programów  zastosowanych do przetwarzania tych danych. 

1. Dane osobowe przechowywane są i  przetwarzane w formie dokumentów fizycznych. 

2.  Istnieją następujące fizyczne zbiory danych osobowych: 

  •  zbiór danych osobowych klientów – przechowywany w budynku przy ul. Dr Ludwika Zamenhofa 2/1, 81-869 Sopot 
  • zbiór danych osobowych pracowników w Przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska” – przechowywany w budynku przy  Dr Ludwika Zamenhofa 2/1, 81-869 Sopot w zamkniętym biurze. 

3. Dane osobowe przechowywane i przetwarzane są także przy wykorzystaniu platformy systemowej Windows. 

4. W każdym wypadku korzystania z systemów i oprogramowania wymienionych w punkcie 2.2.3 i 2.2.4 dostęp do danych chroniony jest według procedur opisanych w rozdziale 5 niniejszego dokumentu. 

5. W każdym wypadku korzystania z internetowych systemów przetwarzania danych dostęp do danych chroniony jest według procedur opisanych w rozdziale 5 niniejszego dokumentu. 

Pkt. 3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. 

1. Dane osobowe pochodzące od klientów są przetwarzane według następujących pozycji: 

  • imię i nazwisko, 
  • numer telefonu, 
  • adres zamieszkania, 
  • adres e-mail 
  • data urodzenia 
  • Pesel 
  • NIP 
  • Regon. 

Wszystkie wyżej wymienione dane przetwarzane są w minimalnym zakresie i tylko przez czas niezbędny do realizacji poszczególnych celów. Kwestie te poruszane są szczegółowo w informacjach załączanych dla w/w podmiotów. 

Rozdział 3 

Osoby przetwarzające dane osobowe 

Pkt. 1.  Osoby upoważnione do przetwarzania danych osobowych 

1.  Do przetwarzania wszystkich danych osobowych w obrębie Przedsiębiorstwa  „Nowoczesne Kręgarstwo Alina Piwońska” upoważniona jest Pani Alina Piwońska 

Pkt. 2. Nadawanie dodatkowych uprawnień 

1. Pani Alina Piwońska może nadać uprawnienia do administrowania danymi osobowymi w obrębie Przedsiębiorstwa osobom niewymienionym w punkcie 3.1. 

2. Każdorazowo Pani Alina Piwońska określa funkcję osoby upoważnionej, imię i nazwisko, datę nadania i wygaśnięcia uprawnień, zakres upoważnienia oraz uzasadnienie nadania uprawnień. Dane te odnotowywane są również w Ewidencji osób przetwarzających dane osobowe. 

 Pkt.3. Ewidencja osób przetwarzających dane osobowe 

1. Zgodnie z art. 39 Ustawy administrator danych prowadzi Ewidencję osób upoważnionych do ich przetwarzania. 

2. Ewidencja zawiera: 

  • nazwę zbioru danych objętych upoważnieniem, 
  • imię i nazwisko osoby upoważnionej, 
  • identyfikator, jeśli osoba przetwarza dane w systemie informatycznym, 
  • numer, datę nadania i datę ustania upoważnienia, 
  • zakres upoważnienia do przetwarzania danych osobowych, 
  • przyczynę cofnięcia uprawnień, 
  • podpis osoby stwierdzającej nadanie uprawnień. 

3. Ewidencja prowadzona jest przez Administratora danych osobowych lub upoważnioną przez niego osobę. 

Pkt. 4 Obowiązki osoby przetwarzającej dane 

1.  Każda osoba uprawniona do przetwarzania danych osobowych w Przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska” w jakimkolwiek zakresie, zobowiązana jest zapoznać się z niniejszą Polityką bezpieczeństwa służącą do przetwarzania danych osobowych i postępować zgodnie z nią. 

2. W szczególności na każdą osobę wchodzącą w posiadanie  danych osobowych nałożony jest obowiązek zachowania tych danych w tajemnicy zarówno w momencie posiadania uprawnień do administrowania danymi jak i po ustaniu tego uprawnienia, pod groźbą odpowiedzialności karnej. 

3. Każda osoba przetwarzająca dane zobowiązana jest, niezwłocznie po udzieleniu jej upoważnienia do przetwarzania danych osobowych, podpisać kopię  Upoważnienia  do przetwarzania danych osobowych w Przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska”, które stanowi załącznik do niniejszego dokumentu. 

Rozdział 4 

Przepływ danych 

Pkt. 1.  Sposób przepływu danych pomiędzy poszczególnymi systemami 

1. Administrator dopuszcza przepływ danych między poszczególnymi systemami. 

2. W szczególności dopuszczalne jest gromadzenie danych pochodzących z dokumentów fizycznych pod postacią dokumentów elektronicznych, przy czym forma dokumentu elektronicznego odpowiada dokumentowi fizycznemu. 

3. Dopuszczalne jest tworzenie elektronicznych raportów, zestawień i baz, w szczególności możliwe jest tworzenie elektronicznego zestawienia danych pochodzących z dokumentów, o których jest mowa w Rozdz. 2. Pkt. 2.2 niniejszego dokumentu. 

4. Za przetwarzanie danych zebranych w formie, o jakiej mówi Rozdz. 4. Pkt.1.3 odpowiada osoba upoważniona do przetwarzania tych danych osobowych, w zakresie upoważnienia. 

5. Każdorazowo o powstaniu dokumentów, o których mówi Rozdz. 4. Pkt. 1.3, informowany jest w formie pisemnej lub elektronicznej przez osobę tworzącą dokument Pani Alina Piwońska. 

Rozdział 5 

Środki techniczne zapewniające poufność danych 

Pkt.1. Zagadnienia wstępne 

1. Celem zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych wprowadza się odpowiednie rozwiązania techniczne i organizacyjne. 

2. Rozdział ten określa środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 

Pkt.2 Fizyczne zbiory danych 

1. Fizyczny zbiór danych osobowych przechowywany jest formie uporządkowanej numerami dokumentów. 

2. Fizyczny zbiór danych osobowych przechowywany jest w sposób uniemożliwiający dostęp do niego osobom trzecim, to znaczy jest on przechowywany w zamkniętym pomieszczeniu, wymienionym w Rozdz. 2. Pkt.1.1. 

3. Wszystkie dokumenty fizyczne przechowywane są w sposób uniemożliwiający dostęp do nich osobom trzecim, bez wykorzystania nadmiernych sił i środków, mimo przebywania w pomieszczeniach, w których dane te są przechowywane. W szczególności oznacza to przechowywanie dokumentów w wolno stojącym lub zabudowanym meblu zamykanym na zamek, który otworzyć mogą wyłącznie uprawnione osoby.  

Pkt.3. Elektroniczne zbiory danych 

1. Przez elektroniczne zbiory danych rozumie się zbiory  wymienione w Rozdz. 4 Pkt.1.2 i Rozdz. 4. Pkt.1.3, przetwarzane w sposób wymieniony w punktach 2.2.3 i 2.2.4 niniejszego dokumentu. 

2. Dokumenty przetwarzane są na urządzeniach znajdujących się w pomieszczeniach, o których mówi punkt Rozdz. 2 Pkt. 1.1. 

3. Urządzenia powyższe zabezpieczone są przed kradzieżą. 

4. Bezpośredni dostęp do danych jest zabezpieczony. 

5. Zabezpieczenie, o którym mowa w Rozdz. 5. Pkt.3.4 realizowane jest poprzez: 

  • utworzenie osobnych kont dla użytkowników w systemach, o których mowa w Rozdz. 2. Pkt.2.3 niniejszego dokumentu, 
  • zabezpieczenia hasłem dostępu do plików przy użyciu programów, o  których mowa  w Rozdz. 2. Pkt.2.4 niniejszego dokumentu, 
  • zabezpieczenie folderu, w którym przechowywane są dane hasłem  – jeśli żadne z powyższych nie jest możliwe. 

6. Zabezpieczenie, o którym mowa w Rozdz. 5. Pkt.3.5 lit. a polega na utworzeniu nazwy użytkownika i hasła. Są one indywidualne dla każdej osoby uprawnionej do przetwarzania danych.  

7. Przez hasło rozumie się minimum 8-znakową kombinację cyfr i liter (wielkich i małych lub znaków specjalnych, zgodną z postanowieniami ustawy i aktów wykonawczych).  

8. W celu zabezpieczenia systemu i ochrony danych osobowych wprowadza się zabezpieczenie firewall – system izolacji selekcji połączeń z siecią zewnętrzną. Instalacja firewall jest obligatoryjna dla wszystkich urządzeń, na których przetwarzane są dane osobowe, a które połączone są z siecią zewnętrzną.  

9. W celu zabezpieczenia systemu i ochrony danych osobowych wprowadza się zabezpieczenie antywirusowe. Korzystanie z takiego oprogramowania jest obowiązkowe. 

10. Na osobie uprawnionej do przetwarzania danych osobowych spoczywa obowiązek dbania o aktualizacje oprogramowania wymienionego w Rozdz. 5. Pkt.3.8 i Rozdz. 5. Pkt.3.9, a także samego systemu i oprogramowania wymienionych w Rozdz. 2. Pkt.2.3 i Rozdz. 2. Pkt.2.4. 

11. Wszelkie nośniki danych znajdują się w pomieszczeniach wskazanych w Rozdz. 2. Pkt. 1.1 i są zabezpieczone przed ich wyniesieniem bądź zniszczeniem przez nieuprawnione osoby.  

12. Dostęp do danych zgromadzonych na nośnikach, w szczególności nośnikach służących zapisywaniu kopii zapasowych, tj. płyt CD, DVD, dyskietek, urządzeń typu pendrive, dysków wymiennych, winien być zabezpieczony hasłem. 

13. Jeśli istnieje konieczność serwisowania urządzeń, w obrębie których przechowywane są dane osobowe lub ich zbiory, zlecający usługę serwisowania zobowiązany jest do podpisania z serwisem umowy o zachowaniu tajemnicy danych osobowych. 

Pkt. 4 Zbiory danych w systemach informatycznych 

1. Zbiór danych osobowych w systemie informatycznym chroniony jest z wykorzystaniem nowoczesnych mechanizmów szyfrowania.  

2. Administrator bezpieczeństwa informacji odpowiada za wszelkie aktualizacje systemu poprawiające jego bezpieczeństwo. 

 Pkt. 5 Kopie zapasowe 

1. Za sporządzenie kopii zapasowej danych odpowiada osoba bezpośrednio administrująca tymi danymi.  

2. Osoba przetwarzająca dane osobowe w zbiorze tworzy kopie zapasowe tego zbioru w miarę potrzeb, nie rzadziej jednak niż raz w miesiącu. 

3. Kopia zapasowa danych przechowywana jest na nośniku zewnętrznym, ze szczególnym uwzględnieniem Rozdz. 5. Pkt. 3.11 i Rozdz. 5. Pkt. 3.12 niniejszego dokumentu. 

4. Osoba administrująca zbiorem danych osobowych tworzy kopie zapasowe tego zbioru za ostatnie 12 miesięcy oraz przechowuje je w pomieszczeniach wskazanych w Rozdz. 2. Pkt.1.1. 

 Pkt. 6 Przekazywanie danych 

1. Dane mogą być przenoszone i przekazywane pomiędzy osobami posiadającymi uprawnienia do ich przetwarzania. 

2. W chwili utraty uprawnień do przetwarzania danych osobowych , osoba tracąca uprawnienia  zobowiązana jest niezwłocznie przekazać wszelkie zbiory danych będące w jej posiadaniu i ich kopie swojemu następcy na stanowisku zajmowanym w Przedsiębiorstwie „Nowoczesne Kręgarstwo Alina Piwońska” 

3. Jeśli brak jest następcy, osoba, o  której mowa w Rozdz. 5. Pkt. 6.2 przekazuje zbiory danych i ich kopie Pani Alinie Piwońskiej. 

4. Osoba, o której mowa w Rozdz. 5. Pkt.6.2, przekazuje także zgodnie z procedurą wymienioną powyżej wszelkie loginy i hasła umożliwiające dostęp do danych osobowych.  

 Pkt.7 Przenoszenie danych 

1. Możliwe jest przenoszenie danych osobowych i ich zbiorów. 

2. Dane przenoszone winny być zabezpieczone przed dostępem osób trzecich, w szczególności: 

  • fizyczne dokumenty winny być przenoszone w zalakowanych kopertach opisanych danymi kontaktowymi osoby przenoszącej dane, 
  • dokumenty elektroniczne winny być zabezpieczone w sposób opisany w punkcie 5.3.5 lit b lub c, a nośniki dokumentów elektronicznych winny być przenoszone w sposób gwarantujący najwyższe bezpieczeństwo, 
  • dane lub ich zbiory w formie fizycznej lub na nośnikach, w szczególności płytach CD, DVD, pendrive mogą być przesyłane za pośrednictwem poczty wyłącznie po zabezpieczeniu samego nośnika oraz po nadaniu przesyłki za potwierdzeniem odbioru. Odbiorca winien być poinformowany pisemnie o przesyłce, jej dacie oraz zawartości najpóźniej w dniu nadania przesyłki.  Odbiorca obowiązany jest sprawdzić kompletność przesyłki w momencie jej odbioru. 

 Pkt.8 Niszczenie danych 

1. Dane osobowe i ich zbiory są przechowywane u Administratora tak długo, jak ich przetwarzanie służy wykonaniu usług świadczonych przez firmę, jak również jak jest to niezbędne do prawidłowego funkcjonowania Przedsiębiorstwa „Nowoczesne Kręgarstwo Alina Piwońska” 

2. Kopie zapasowe są usuwane lub niszczone niezwłocznie po ustaniu ich użyteczności. 

3. Dane niszczone są wyłącznie gdy są bezużyteczne i nie ma obowiązku ich przechowywania. 

4. Osobą odpowiedzialną za zniszczenie danych  lub  ich zbiorów jest osoba administrująca tymi danymi lub ich zbiorem, po konsultacji ze swoim zwierzchnikiem. 

5. Zniszczenie danych fizycznych polega na zniszczeniu dokumentów uniemożliwiającym ich ponowne odczytanie, w szczególności z wykorzystaniem niszczarki. 

6. Zniszczenie danych elektronicznych polega na trwałym usunięciu tych danych, a jeśli to możliwe także sformatowaniu nośnika. 

7. Nośniki magnetyczne przekazywane na zewnątrz powinny być pozbawione zapisów zawierających dane osobowe. Niszczenie zapisów powinno odbywać się poprzez wymazywanie informacji oraz formatowanie nośnika.  

8. Uszkodzone nośniki magnetyczne przed ich wyrzuceniem należy fizycznie zniszczyć. 

9. Zniszczenie odnotowuje się poprzez sporządzenie protokołu zniszczenia, który należy przechowywać w budynku przy ul. Dr Ludwika Zamenhofa 2/1, 81-869 Sopot.  

10.  Wzór protokołu zniszczenia ustala Pani Alina Piwońska. Protokół ten zawiera w  szczególności datę zniszczenia, informacje o danych lub ich zbiorze, przyczynę zniszczenia danych oraz podpisy  osób uprawnionych do zniszczenia danych. 

Rozdział 6 

Inwentaryzacja 

1. Dane szczególnych kategorii i dane karne 

Administrator identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne oraz utrzymuje dedykowane mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W razie zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych, Administrator postępuje zgodnie z przyjętymi zasadami w tym zakresie. 

2. Dane niezidentyfikowane 

Administrator identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, ponadto utrzymuje mechanizmy ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane. 

3. Profilowanie 

Administrator identyfikuje przypadki, w których dokonuje profilowania przetwarzania danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W przypadku zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji, Administrator podejmuje odpowiednie kroki. 

Rozdział 7 

Rejestr czynności przetwarzania danych 

1. Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności. 

2. Administrator prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe. 

3. Rejestr jest jednym z podstawowych narzędzi umożliwiających Administratorowi rozliczenie większości obowiązków ochrony danych. 

4.  Wzór rejestru stanowi załącznik nr 1 do Polityki- „Wzór Rejestru Czynności Przetwarzania Danych”. Wzór Rejestru zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Administrator rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzania zgodnością ochrony danych i rozliczenie się z niej. 

Rozdział 8 

Podstawy przetwarzania 

1. Administrator dokumentuje w rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania. 

2. Administrator wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności. 

Rozdział 9 

Sposób obsługi praw jednostki i obowiązków informacyjnych 

1. Administrator dba o czytelność i styl przekazywanych informacji i komunikacji z   osobami, których dane przetwarza. 

2. Administrator dba o dotrzymywanie prawnych terminów realizacji obowiązków względem osób, których dane osobowe przetwarzają. 

3. W  celu realizacji praw jednostki Administrator zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez Administrator, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany. 

4. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób, których dane osobowe przetwarza. 

Rozdział 10 

Żądania osób 

1. Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw. 

2. Administrator informuje osobę w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych. 

3. Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje taką osobę, czy przetwarza jej dane oraz o szczegółach przetwarzania, zgodnie z art. 15 RODO. Ponadto Administrator udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych Administrator nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych. 

4. Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowość danych, których sprostowania się domaga. W przypadku sprostowania danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby. 

5. Administrator uzupełnia i aktualizuje dane na żądanie osoby, której dane osobowe przetwarza. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Administrator nie musi przetwarzać danych, które są mu zbędne). Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne. 

6. Na żądanie osoby, której dane osobowe przetwarza, Administrator usuwa dane, gdy: 

  • dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach, 
  • zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania, 
  • osoba, której dane osobowe są przetwarzane wniosła skuteczny sprzeciw względem przetwarzania tych danych, 
  • dane były przetwarzane niezgodnie z prawem, 
  • konieczność usunięcia wynika z obowiązku prawnego, 
  • konieczność dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. 

7. Administrator zapewnia sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17 ust. 3 RODO. 

8. Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, której dane przetwarza, gdy: 

  • osoba kwestionuje prawidłowość danych- na okres pozwalający sprawdzić ich prawidłowość, 
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, 
  • Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń, 
  • osoba, której dane są przetwarzane wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją- do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. 

9. W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje) bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. 

10. Na żądanie osoby, której dane osobowe przetwarza, Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, która dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celi zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Administratora. 

11. Jeżeli osoba, której dane osobowe są przetwarzane, zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o jego uzasadniony interes lub o powierzone Administratorowi zadanie w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po jego stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 

12. Jeżeli osoba, której dane osobowe są przetwarzane, zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania. 

13. Jeżeli Administrator przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, Administrator zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie Administratora, chyba że automatyczna decyzja: 

  • jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą, a Administratorem, (lub) 
  • jest wprost dozwolona przepisami prawa (lub), 
  • opiera się na wyraźnej zgodzie odwołującej się osoby. 

 Rozdział 11 

Minimalizacja 

 1. Administrator dba o minimalizację przetwarzania danych pod kątem: 

  • adekwatności do celów (ilość danych i zakres przetwarzania), 
  • dostępu do danych, 
  • czasu przechowywania danych. 

2. Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO. 

Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz w roku. 

Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design) 

3. Administrator stosuje  ograniczenia dostępu do danych osobowych: 

  • prawne (zobowiązania do poufności, zakresy upoważnień), 
  • fizyczne (strefy dostępu, zamykanie pomieszczeń), 
  • logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe). 

4. Administrator stosuje kontrolę dostępu fizycznego, a ponadto dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających. 

5. Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok. 

Rozdział 12 

Bezpieczeństwo 

1. Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych  przez Administratora. 

2. Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu: 

  • zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania- wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych, 
  • kategoryzuje dane oraz czynności ich przetwarzania pod kątem ryzyka, które przedstawiają, 
  • przeprowadza analizy naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, 
  • ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszty ich wdrażania.  

3. Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka, jest ono wysokie. 

4. Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz oceny skutków dla ochrony danych. 

5. Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych organowi nadzoru w terminie 72 godzin od ustalenia naruszenia. 

Rozdział 13 

Eksport danych 

1. Administrator rejestruje w Rejestrze przypadki eksportu danych, czyli przekazywania poza Europejski Obszar Gospodarczy. Jednocześnie podkreśla się, że na dzień tworzenia Polityki Bezpieczeństwa, takowy eksport nie ma występuje 

Rozdział 14 

Postanowienia końcowe 

 1. We wszystkich kwestiach, których nie reguluje Polityka bezpieczeństwa Przedsiębiorstwa „Nowoczesne Kręgarstwo Alina Piwońska” zastosowanie mają przepisy prawa powszechnie obowiązującego. 

2. Wszelkie zmiany dotyczące Polityki bezpieczeństwa ustala Administrator. 

3. Dokument wchodzi w życie z dniem uchwalenia. 

4. Odpowiedzialność karna Administratora danych osobowych i osób administrujących danymi realizowana jest zgodnie z zapisami ustawy.